Piensa, haz y fluye - LIBRO
desarrollo seguro, origen de las vulnerabilidades
Auditoría de código

Principal origen de las vulnerabilidades del software

En Ciberseguridad uno de los trabajos principales es el descubrimiento de vulnerabilidades del software, estos agujeros de seguridad deben ser descubiertos y protegidos cuanto antes para que no sean explotados por personal no autorizado con una intención maliciosa.

Verónica Hontecillas Mentor - Coach Experta en inteligencia emocional

¿Qué es el desarrollo seguro?

El origen de estas vulnerabilidades no es ningún misterio, forman parte del software y por lo tanto de su desarrollo, contemplándose dentro de la especialización de desarrollo seguro. A continuación se muestran las principales causas de que una aplicación o sistema (componente software) presente vulnerabilidades:

desarrollo seguro, origen de las vulnerabilidades

La mayoría de personal implicado en la construcción/desarrollo de ese componente software, no tienen visibilidad sobre Ciberseguridad: En un proyecto de desarrollo de software no solo hay desarrolladores, hay arquitectos, administradores de base de datos, testers, jefe de proyecto, product owner, operaciones, etc… Todas estas funciones siempre se llevan a cabo, incluso se llevan a cabo informalmente, aunque no se comprenda la responsabilidad del rol que se esta realizando y no se le ponga un nombre concreto, como por ejemplo no saber quien es el responsable de control de calidad. Dentro de estas funciones, el control de seguridad es una de las más desconocidas y por lo tanto abandonadas. En este sentido no es tan importante la carencia de conocimientos profesionales sobre Ciberseguridad, puesto que esto es fácilmente asequible mediante contratación, sino la falta de aprecio de su importancia y su desconocimiento, que convierten la seguridad en algo lejano hasta que tiene lugar un incidente grave. El mayor daño se produce en su desconocimiento a nivel de dirección del proyecto y toma de decisiones.

«Atender al código desarrollado no es suficiente. Desarrollar código de forma segura no garantiza seguridad para una aplicación, un requisito de seguridad olvidado, un diseño incorrecto o una arquitectura insegura pueden dejar la aplicación vulnerable a multitud de ataques»

desarrollo seguro, origen de las vulnerabilidades

Ausencia de una correcta guía en desarrollo seguro a los stakeholders, en las diferentes fases del desarrollo de software: Llevar a cabo un control de seguridad de forma exterior al desarrollo de un producto software, o introducirlo solo en las últimas fases. Para entendernos, querer que un edificio cumpla normativa de seguridad y este construido de forma segura, pero una vez que ya esta construido, o no controlar de forma proactiva la seguridad si no reactiva, intentando solucionar incidentes de seguridad cuando estos ocurran, o confiando en que alguien nos avise de estos, fortuitamente o por buena voluntad. En este sentido se deja el siguiente trabajo sin hacer:

1 – Fallo en la detección y toma de requisitos específicos de seguridad, como en la detección y corrección de vulnerabilidades en el resto de requisitos.

2 – Carencia de aplicación, o aplicación inapropiada de los principios de seguridad en la fase de diseño.

3 – Malas practicas durante el desarrollo de código que crean un espacio para la aparición de vulnerabilidades.

4 – Carencia de pruebas de seguridad, durante la fase de pruebas.

5 – Negligencias de seguridad durante la fase de operaciones y despliegue.

6 – Carencia de control de seguridad durante la vida útil del componente software, en el posterior mantenimiento de este.

Una de las tareas principales durante la gestión de la seguridad en el desarrollo de software son las auditorías de código.

¿Qué es una auditoría de código?

«Las aplicaciones software son diseñadas y desarrolladas primeramente con su funcionalidad en mente, y con la seguridad como una distante segunda o tercera prioridad.»

Proyecto OWASP.
desarrollo seguro en el ciclo de vida de desarrollo de software, auditoría de código
desarrollo seguro en el ciclo de vida de desarrollo de software, auditoría de código

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

error

Enjoy this blog? Please spread the word :)

error: